La Casa Bianca sembra aver compiuto uno svolta politica, attribuendo rapidamente alla Russia la responsabilità degli ultimi attacchi informatici all’Ucraina. Ora ci sono le condizioni per prevenire il ripetersi di situazioni simili
di Patrick Howell O’Neill 20-02-22
Appena 48 ore dopo il crollo di banche e siti web governativi in Ucraina sotto il peso di un attacco informatico concertato il 15 e 16 febbraio, gli Stati Uniti hanno puntato il dito contro le spie russe. Anne Neuberger, vice consigliere per la sicurezza nazionale della Casa Bianca per la tecnologia informatica e emergente, ha affermato che gli Stati Uniti hanno “informazioni tecniche che collegano il servizio informazioni dell’intelligence russa (GRU)” con l’attacco DDos che ha sovraccaricato e fatto crollare i siti web ucraini.
“L’infrastruttura del GRU è stata vista trasmettere elevati volumi di comunicazioni a indirizzi IP e domini con sede in Ucraina”, ha detto ai giornalisti il 18 febbraio. Si ritiene che l’attacco informatico avesse lo scopo di seminare il panico in Ucraina in concomitanza con la presenza di oltre 150.000 soldati russi ammassati al confine.
La velocità con cui sia i funzionari statunitensi che quelli britannici sono stati in grado di attribuire le responsabilità è un enorme cambiamento rispetto alla storia recente e mostra come stabilire chi abbia fatto partire un attacco sia diventato uno strumento cruciale di conflitto informatico per gli americani.
Negli ultimi anni, gli Stati Uniti hanno utilizzato la cosiddetta attribution informatica come strumento geopolitico più spesso di qualsiasi altro paese al mondo, spesso con alleati nel Regno Unito, soprattutto quando l’obiettivo è la Russia, come è avvenuto la scorsa settimana.
“Noterò che la velocità con cui abbiamo stabilito le responsabilità è molto insolita”, ha detto Neuberger. “Lo abbiamo fatto per la necessità di denunciare rapidamente il tipo di comportamento delle nazioni quando conducono attività informatica destabilizzanti”. Questa nuova politica ha le sue radici in ciò che è accaduto dopo le elezioni americane del 2016.
Gavin Wilde, un ex alto funzionario del National Security Council, ha contribuito a compilare la storica Intelligence Community Assessment, in cui vengono descritte in dettaglio le campagne di hacking e disinformazione di Mosca volte a influenzare le elezioni. E’ stato lo stesso presidente Obama, sostenuto dal direttore della National Intelligence James Clapper, ad avviare il processo di riunione di tutte le agenzie di intelligence statunitensi per migliorare il livello di condivisione delle informazioni.
Ma l’attribuzione delle responsabilità della loro ricerca non è stata resa pubblica fino al 2017, mesi dopo che le stesse elezioni statunitensi erano finite. “La sensazione prevalente era quella di impotenza tra i servizi segreti statunitensi per il senso di fallimento in quanto non si era stati in grado di disinnescare queste attività”, spiega Wilde.
La lunga strada
L’hacking è stato un aspetto importante della politica globale per decenni prima che l’attribuzione pubblica delle responsabilità fosse presa seriamente in considerazione. Ci è voluto un importante rapporto sulla sicurezza informatica di un’azienda del settore privato per fare scalpore, arrivare in prima pagina sul “New York Times” e cambiare il modo in cui il mondo intero pensava di smascherare gli hacker.
Il rapporto del 2013 sugli hacker cinesi noto come APT1 dell’azienda americana di sicurezza informatica Mandiant è stato il primo a puntare pubblicamente il dito contro uno stato-nazione. Ci è voluto un intero decennio di pirateria informatica da parte del gruppo, a partire dal 2002, prima che l’accusa diventasse pubblica.
Quando il rapporto APT1 è stato pubblicato, il documento era estremamente dettagliato, al punto di individuare il gruppo di spionaggio informatico dell’Esercito popolare cinese di liberazione noto come Unità 61398. Un anno dopo, il Dipartimento di Giustizia degli Stati Uniti ha effettivamente sostenuto il rapporto quando sono stati incriminati cinque ufficiali dell’Unità con l’accusa di pirateria informatica e furto di proprietà intellettuale nei confronti di aziende americane.
“Il rapporto APT1 ha cambiato radicalmente il calcolo rischio-beneficio degli aggressori”, afferma Timo Steffens, un esperto tedesco di spionaggio informatico e autore del libro Attribution of Advanced Persistent Threats. “Prima di quel rapporto, le operazioni informatiche erano considerate strumenti quasi privi di rischi”, afferma.
Il rapporto non solo ha formulato ipotesi, ma ha documentato in modo chiaro e trasparente i metodi di analisi e le fonti dei dati. Era chiaro che questa non era una fortunata scoperta una tantum, ma un sistema che poteva essere applicato con successo anche ad altri attacchi”.
Le conseguenze sono state di vasta portata. È seguita un’ondata di attribuzioni simili e gli Stati Uniti hanno accusato la Cina di furto sistematico di massa, portando la sicurezza informatica a essere un fulcro della visita del presidente cinese Xi Jinping negli Stati Uniti nel 2015. “Prima del rapporto APT1, l’attribuzione era la presenza inquietante che nessuno osava menzionare”, afferma Steffens. “Secondo me è stata una mossa molto coraggiosa rendere pubblici i risultati”.
Per essere in grado di attribuire un attacco informatico, gli analisti dell’intelligence esaminano una serie di dati, tra cui il malware utilizzato dagli hacker, l’infrastruttura o i computer utilizzati per condurre l’attacco, l’intelligence e le comunicazioni intercettate e la questione del “a chi giova” l’attacco.
Più sono i dati, più facile diventa l’attribuzione man mano che emergono i modelli. Anche i migliori hacker del mondo commettono errori, lasciano indizi e riutilizzano vecchi strumenti che aiutano a risolvere il caso. È in corso un qualcosa di simile a una corsa agli armamenti tra gli esperti che escogitano nuovi modi per smascherare gli hacker e questi ultimi che mirano a coprire le loro tracce. Ma la velocità dell’attribuzione dell’attacco russo ha mostrato che i precedenti ritardi non erano semplicemente dovuti alla mancanza di dati o prove. Era una scelta politica.
Wilde sostiene che la potenziale invasione russa dell’Ucraina e il rischio per centinaia di migliaia di vite stanno spingendo la Casa Bianca ad agire più rapidamente. “L’amministrazione americana”, continua, “sembra aver capito che la migliore difesa è denunciare in anticipo le intrusioni informatiche o i falsi pretesti”.
L’attribuzione pubblicapuò avere un impatto molto reale sulla strategia informatica di un avversario. Può segnalare che vengono osservati o può imporre costi quando le operazioni vengono scoperte e gli strumenti devono essere bruciati per ricominciare. Può anche innescare azioni politiche come sanzioni che colpiscono i conti bancari dei responsabili. Altrettanto importante, sostiene Gavin, è un segnale per il pubblico che il governo sta monitorando da vicino le attività informatiche dannose e sta lavorando per risolverlo. “C’è un problema di credibilità, in particolare con russi e cinesi”.
(rp)
